Tópico: intraturma (Lida 14092 vezes)

DiguiVirus · « **Responder #15 em:** 11 de Janeiro de 2008, 23:36 »

Activa a minha tb... DiguiVirus, quero testar!

djthyrax · « **Responder #16 em:** 12 de Janeiro de 2008, 00:23 »

Citação de: _JR_ em 11 de Janeiro de 2008, 20:17

Citação de: 1sonhador em 11 de Janeiro de 2008, 09:52
sinceramente.... preocupem-se com a segurança disso... LOL!!!!

Sim, é algo a preocupar. No entanto fico feliz por te teres registado e não teres conseguido aceder ao site sem a necessária autorização do admin. Conseguiste a bd? Conseguiste algum dado? O que conseguis-te foram os resultados de debugs de erros dos querys.

É o que chega para encontrar uma possível falha no tratamento de uma string que vai para uma query.

_JR_ · « **Responder #17 em:** 12 de Janeiro de 2008, 08:04 »

Citação de: djthyrax em 12 de Janeiro de 2008, 00:23

Citação de: _JR_ em 11 de Janeiro de 2008, 20:17
Citação de: 1sonhador em 11 de Janeiro de 2008, 09:52
sinceramente.... preocupem-se com a segurança disso... LOL!!!!

Sim, é algo a preocupar. No entanto fico feliz por te teres registado e não teres conseguido aceder ao site sem a necessária autorização do admin. Conseguiste a bd? Conseguiste algum dado? O que conseguis-te foram os resultados de debugs de erros dos querys.
É o que chega para encontrar uma possível falha no tratamento de uma string que vai para uma query.

A não ser que me tenha esquecido de alguma, todas as variáveis inseridas directamente na query (ou seja sem case's ou algo do género), são tratadas com a função mysql_real_escape_string. Se há mais alguma coisa a fazer, aí não sei.

Mas sim, vou tirar as informações dos debug.

pedrotuga · « **Responder #18 em:** 12 de Janeiro de 2008, 11:19 »

djthyrax, acho isso uma coisa um pouco sem importancia uma vez que etamoas a falar de uma aplicação de código aberto, quem quiser descobrir falhas não precisa de andar a ver mensagens de erro quanto tem acesso ao código.

djthyrax · « **Responder #19 em:** 12 de Janeiro de 2008, 15:20 »

Citação de: pedrotuga em 12 de Janeiro de 2008, 11:19

djthyrax, acho isso uma coisa um pouco sem importancia uma vez que etamoas a falar de uma aplicação de código aberto, quem quiser descobrir falhas não precisa de andar a ver mensagens de erro quanto tem acesso ao código.

Ainda não é de código aberto, e só reporta as falhas quem quiser, nada o obriga. É sempre melhor jogar pelo seguro.

_JR_ · « **Responder #20 em:** 13 de Janeiro de 2008, 14:32 »

Substitui agora as mensagens de erro por mensagens personalizadas de acordo com o erro (usando a função mysql_errno).

djthyrax · « **Responder #21 em:** 13 de Janeiro de 2008, 16:26 »

Citação de: _JR_ em 13 de Janeiro de 2008, 14:32

Substitui agora as mensagens de erro por mensagens personalizadas de acordo com o erro (usando a função mysql_errno).

Está melhor, mas devias era guardar para ti os erros e dar ao utilizador apenas uma mensagem genérica ("Ocorreu um erro no processamento do seu pedido - Erro n.º {id da ocurrencia}")

_JR_ · « **Responder #22 em:** 13 de Janeiro de 2008, 16:33 »

Citação de: djthyrax em 13 de Janeiro de 2008, 16:26

Citação de: _JR_ em 13 de Janeiro de 2008, 14:32

Substitui agora as mensagens de erro por mensagens personalizadas de acordo com o erro (usando a função mysql_errno).
Está melhor, mas devias era guardar para ti os erros e dar ao utilizador apenas uma mensagem genérica ("Ocorreu um erro no processamento do seu pedido - Erro n.º {id da ocurrencia}")

Sim, depois irei pôr os erros na bd de modo a estarem acessíveis ao administrador.

djthyrax · « **Responder #23 em:** 13 de Janeiro de 2008, 16:49 »

Citação de: _JR_ em 13 de Janeiro de 2008, 16:33

Citação de: djthyrax em 13 de Janeiro de 2008, 16:26
Citação de: _JR_ em 13 de Janeiro de 2008, 14:32

Substitui agora as mensagens de erro por mensagens personalizadas de acordo com o erro (usando a função mysql_errno).
Está melhor, mas devias era guardar para ti os erros e dar ao utilizador apenas uma mensagem genérica ("Ocorreu um erro no processamento do seu pedido - Erro n.º {id da ocurrencia}")

Sim, depois irei pôr os erros na bd de modo a estarem acessíveis ao administrador.

O que eu queria mesmo passar era o utilizador não ter de saber mais para além de que ocorreu um erro. O ID do erro era apenas para ele poder contactar o admin.

_JR_ · « **Responder #24 em:** 13 de Janeiro de 2008, 17:16 »

Citação de: djthyrax em 13 de Janeiro de 2008, 16:49

Citação de: _JR_ em 13 de Janeiro de 2008, 16:33
Citação de: djthyrax em 13 de Janeiro de 2008, 16:26
Citação de: _JR_ em 13 de Janeiro de 2008, 14:32

Substitui agora as mensagens de erro por mensagens personalizadas de acordo com o erro (usando a função mysql_errno).
Está melhor, mas devias era guardar para ti os erros e dar ao utilizador apenas uma mensagem genérica ("Ocorreu um erro no processamento do seu pedido - Erro n.º {id da ocurrencia}")

Sim, depois irei pôr os erros na bd de modo a estarem acessíveis ao administrador.
O que eu queria mesmo passar era o utilizador não ter de saber mais para além de que ocorreu um erro. O ID do erro era apenas para ele poder contactar o admin.

Sim, posso por isso. Quando der um erro a fazer o redirect para uma página onde aparece o erro e um form de contacto, por exemplo. Também é uma boa sugestão.

cyclop · « **Responder #25 em:** 25 de Janeiro de 2008, 01:22 »

Vivba, antes de mais, gostaria de deixar bem claro que nao estive a gozar com ninguem quando falei da segurança....
aliza nem tentei fazer nada... simplesmente fiz o que faço sempre... plica... e submit... se breca o codigo.... já sabem o que significa... sql injecction....
Agora nao... fiz agora o simples teste e já nao brecou... logo, parece que ja resolveram o problema de segurança...
Boa sorte para o projecto.. até ajudava se soubesse como ajudar...

abraços

djthyrax · « **Responder #26 em:** 25 de Janeiro de 2008, 08:20 »

Citação de: 1sonhador em 25 de Janeiro de 2008, 01:22

aliza nem tentei fazer nada... simplesmente fiz o que faço sempre... plica... e submit... se breca o codigo.... já sabem o que significa... sql injecction....

Nem sempre.

_JR_ · « **Responder #27 em:** 25 de Janeiro de 2008, 09:34 »

Já agora aproveito para dizer que vou demorar mais um bocado a disponibilizar o código do programa porque estou a remodelar tudo para ser possível adicionar novas templates mais tarde (utilizando o Smarty). E como o tempo não abunda...

falco · « **Responder #28 em:** 28 de Janeiro de 2008, 11:27 »

Se disponibilizares o código, pode ser que alguém faça isso por ti...

Gooden · « **Responder #29 em:** 28 de Janeiro de 2008, 16:58 »

Activa ai

Gooden

78 i think

Notícias:

Autor Tópico: intraturma (Lida 14092 vezes)

DiguiVirus

Re: intraturma

djthyrax

Re: intraturma

_JR_

Re: intraturma

pedrotuga

Re: intraturma

djthyrax

Re: intraturma

_JR_

Re: intraturma

djthyrax

Re: intraturma

_JR_

Re: intraturma

djthyrax

Re: intraturma

_JR_

Re: intraturma

cyclop

Re: intraturma

djthyrax

Re: intraturma

_JR_

Re: intraturma

falco

Re: intraturma

Gooden

Re: intraturma